Comment détecter un code QR malveillant ?

Détection d’un code QR malveillant

Inspection visuelle

Plusieurs indices attirent l’œil averti. Un QR superposé, légèrement décentré par rapport au cadre graphique original, suggère un collage manuel. Des couleurs trop saturées révèlent parfois une réimpression jet d’encre sur une affiche offset. La présence d’un logo incohérent ou d’une faute de grammaire à proximité constitue un second signal.

Analyse statique du contenu

Les laboratoires de sécurité extraient le payload sans connexion extérieure grâce à des bibliothèques open‑source comme ZXing. Une URL exagérément longue, contenant un sous‑domaine chiffré (par exemple : « x9‑ab31.secure‑update.yang .cn ») alerte immédiatement. Un QR legible donnant javascript: suivi d’un base64 évoque une exécution directe. Des chaînes de configuration Wi‑Fi chiffrées WEP alors que le réseau annonce WPA3 indiquent une tentative de « evil‑twin ».

Sandboxing et émulation

Avant de permettre l’accès depuis un terminal de production, certains SOC redirigent l’URL dans un conteneur isolé. L’environnement observe les requêtes sortantes, le fingerprinting du navigateur et la présence d’obfuscation DOM. En mai 2025, un test mené par l’ANSSI a placé 500 QR suspects dans un bac à sable Kubernetes. 37 % ont déclenché un téléchargement exécutable masqué derrière un en‑tête SVG et 22 % utilisaient des fonts WOFF exfiltrant le localStorage.

Contexte opératoire

La première question posée par un analyste consiste à identifier l’endroit où le QR a été découvert. Sur un badge d’accès, un motif personnalisé avec numéro de série unique est attendu. Sur une fiche d’évacuation incendie, la présence d’un QR reliant vers un site commercial semble incongrue. L’incohérence entre support et destination apporte un indicateur fiable.

Bonnes pratiques de mitigation

Gouvernance et politiques internes

Une charte numérique définit quelle équipe valide la création et l’impression de QR destinés aux clients. Chaque code reçoit un identifiant de version et un cycle de vie. Avant déploiement dans une campagne marketing, le responsable juridique vérifie les mentions légales. L’organisation conserve un registre SHA‑256 du bitmap pour prouver l’authenticité en cas de litige.

code QR malveillant

Contrôles techniques adaptés

Les passerelles web de nouvelle génération peuvent calculer dynamiquement la réputation d’une URL extraite d’un QR scanné via un appareil mobile géré par MDM. Un proxy transparent injecte une page d’avertissement si le domaine naît depuis moins de dix jours ou si le certificat TLS présente un chaînage atypique. Par ailleurs, certains lecteurs d’entreprise imposent l’affichage de l’URL complète avant ouverture, donnant au collaborateur la chance d’annuler.

Sensibilisation du personnel

Les programmes de formation incluent désormais des simulations de QR frauduleux. Une salle de conférence reçoit deux affiches presque identiques : l’une légitime, l’autre piégée. Les participants scannent, puis un portail pédagogique affiche leur note. En trois sessions, le taux de détection grimpe de 42 % à 79 %. La répétition de l’exercice tous les trimestres ancre le réflexe d’inspection.

Exemples de menaces

Phishing codé

Un QR remplaçant le lien hypertexte classique contourne la vigilance visuelle. En septembre 2024, une campagne ciblant des employés de sociétés logistiques françaises a placé sur des palettes un autocollant incitant à « scanner pour confirmer la livraison ». Le scan lançait une fausse interface Office 365 hébergée sur un domaine typosquatté. Le taux de compromission atteint alors 14 %, supérieur à celui des e‑mails de hameçonnage habituels, la manipulation directe de l’appareil photo renforçant la confiance.

Injection de malware

Dans un aéroport asiatique, un QR imprimé sur un panneau d’information promettait un catalogue hors‑taxe hors ligne. Le fichier APK téléchargé comportait un cheval de Troie bancaire. L’attaquant profitait du fait que les paramètres « Installer des applications inconnues » étaient déjà activés sur certains appareils d’entreprise. Une variante plus élaborée, observée en Allemagne, encode un script JavaScript dans un Data URL ; le navigateur déclenche alors l’exécution dès l’ouverture de la page sans téléchargement extérieur, contournant diverses passerelles proxy.

Fraude physique

Dans de nombreuses villes, des escrocs recouvrent les QR destinés au paiement sans contact des parcmètres par leurs propres stickers. À Houston, la police a recensé en 2024 plus de 800 véhicules floués en deux semaines ; les fonds aboutissaient sur des portefeuilles crypto anonymes. L’absence d’URL visible et la rapidité du geste empêchent la victime de remarquer la supercherie.

Exfiltration d’information

Un QR affiché sur l’écran d’un poste de travail restreint sert également à extraire des données hors réseau. Des chercheurs tchèques ont montré qu’un malware interne convertit un rapport de tenue de compte en segments base64, puis les affiche successivement sous forme de QR. Une caméra distante enregistre la séquence et reconstitue le document. Cette technique « video QR exfiltration » évite le filtrage réseau et l’inspection TLS.